在 laravel 中,直接链式调用 `where()` 和 `orwhere()` 会导致 sql 优先级问题,使 `or` 条件脱离原有 `and` 上下文;应使用闭包分组将多条件逻辑包裹,确保 `airline_id` 约束始终生效。
Laravel 的 Eloquent 查询构建器默认按链式顺序生成 SQL 条件,但 OR 操作符的优先级低于 AND,因此以下写法:
->where('airline_id', $request->airline_id)
->where("name","LIKE","%{$request->search}%")
->orWhere("code","LIKE","%{$request->search}%")实际生成的 SQL 等价于:
WHERE airline_id = ? AND name LIKE ? OR code LIKE ?
这等同于 (airline_id = ? AND name LIKE ?) OR (code LIKE ?) —— code 匹配时完全忽略 airline_id 限制,导致跨航空公司数据泄漏。
✅ 正确解法是使用 where() 闭包进行逻辑分组,将 name 或 code 的模糊搜索封装为一个原子条件单元:
Product::with('airline')
->select('id', 'name', 'code')
->where('airline_id', $request->airline_id)
->where(function ($query) use ($request) {
$query->where('name', 'LIKE', "%{$request->search}%")
->orWhere('code', 'LIKE', "%{$request->search}%");
})
->limit(5)
->get();生成的 SQL 将严格符合预期:
WHERE airline_id = ? AND (name LIKE ? OR code LIKE ?)
? 注意事项:
- 所有需统一作用域的 OR 条件(如多字段搜索)都必须置于 where() 闭包内;
- 使用 use ($variable) 显式传入闭包外部变量,避免作用域丢失;
- 若搜索字段可能为空,建议提前校验 $request->search,避免生成 LIKE '%%' 全表扫描;可加判断:
->when($request->filled('search'), function ($query) use ($request) {
$query->where(function ($q) use ($request) {
$q->where('name', 'LIKE', "%{$request->search}%")
->orWhere('code', 'LIKE', "%{$request->search}%");
});
})这样既保持查询健壮性,又提升安全性与性能。
